Facebook、不正アクセス伝えるニュースへのリンク投稿を一時ブロック
2018年9月30日 22:48
Facebookは9月28日、「プロフィールを確認」ツールの脆弱性により、5,000万件近いアカウントのアクセストークンを攻撃者が不正に入手していたことを明らかにした(Facebookのニュース記事)。 「プロフィールを確認」は、他のユーザーが自分のプロフィール画面を見た場合の見え方を確認するツール。表示画面は閲覧のみを意図したものだが、メッセージ送信用のUIが誤って有効になっていたため、動画の投稿も可能だった。動画アップローダーにはFacebookモバイルアプリ用のアクセストークンを生成する機能が誤って搭載されており、「プロフィールを確認」画面内では見え方を確認しようとした他のユーザー用のアクセストークンを生成していたという。攻撃者はこれら一連のバグを悪用して他のユーザーのアクセストークンを入手していたとのこと。 Facebookでは脆弱性の修正および捜査機関への通報、影響を受けた5,000万近いアカウントおよび影響を受けた可能性のある4,000万アカウントについてアクセストークンをリセットしたほか、「プロフィールを確認」機能を一時的に無効化している。アクセストークンがリセットされた約9,000万アカウントはログアウト状態となり、再度ログインするとニュースフィードの先頭に通知が表示されるという。なお、パスワードが不正アクセスを受けたわけではないので、変更の必要はない。 この件がメディアで報じられ、多くのFacebookユーザーがニュース記事へのリンクをシェアしようとしたところ、APやThe Guardianなどの記事へのリンクが一時ブロックされて投稿できない状態になっていたそうだ。投稿をブロックされたユーザーがTwitterに投稿したスクリーンショットによると、多数のユーザーが同じコンテンツを投稿しようとしたため、Facebookのセキュリティシステムがスパムと判定したようだ(The Next Webの記事、Mashableの記事)。 しかし、スパム防止機能は詐欺広告や嘘ニュースなど信頼できない情報の拡散を防ぐためのものだ。重大な事件などが発生した場合、APやThe Guardianなどの記事は多くのユーザーが短時間に投稿することも予測できたはずで、ブロックされないよう事前に設定しておくべきではなかったかという指摘も出ている。なお、The Washington PostやUSA TODAYの記事はブロックされなかったとのことだ。